IETF89: Was tun gegen die Geschwätzigkeit des DNS

Verschlüsselung, Datenminiminierung und Verschleierung durch unsinnigen Zusatzverkehr, das sind die ersten Vorschläge für ein wenig mehr Privatsphäre im Domain Name System. Beim 89. Treffen der Internet Engineering Task Force (IETF) in London wurde eine mögliche Verheiratung des DNS-Protokolls mit TLS-Verschlüsselung vorgestellt. Schnelle Lösungen wird es aber nicht geben, prophezeiten viele Experten. Zumal ein weniger geschwätziges DNS auch viele Geschäftsmodelle in Frage stellt.

Bei der Analyse der Situation ist sich die Mehrheit der Entwickler schnell einig. Der praktisch komplett unverschlüsselte DNS-Verkehr verrät eine ganze Menge über den meist ahnungslosen Nutzer. Auf dem Weg vom Rechner des Nutzers über einen lokalen DNS-Resolver bis zum autoritativen Server werden die viele Informationen preisgegeben, etwa wer nach was zu welchen Zeitpunkt fragt, oder auch wer eine bestimmte Software nutzt. Für den Besucher einer politischen Webseite kann das schon Daten liefern, die er ungern preis geben will.

Natürlich sei die Webseite der Anonymen Alkolholiker öffentlich, sagte Peter Koch, DNS-Experte der Denic. Die Tatsache, dass ein Nutzer sie abruft, ist das erst einmal nicht. Auch Informationen darüber, wer eine bestimmte Software nutzt, etwa Bittorrent, können einen Nutzer in Schwierigkeiten bringen, sagte sein französischer Kollege Stephane Bortzmeyer von AfNIC. Künstliche Spuren kreieren Mailprogramme oder Virenfilter, die je nach Einstellung die mehr oder weniger seriösen Links in der täglich auflaufenden Spammail antesten.

Koch und Bortzmeyer beschreiben in drei Dokumenten (DNS Confidentiality, DNS Privacy, Privacy Solutions) ausführlich, wo überall Informationen, darunter auch Daten über Personen, anfallen und wo sie abgegriffen werden können. Der unverschlüsselte Datenstrom lässt sich dabei auf dem Weg belauschen. Wer Zugang zu Servern oder Resolvern hat, kann sie aber auch dort bedienen. Software von BIND über Tcdump bis zu eigens für das Aufsammeln von DNS-Verkehr geschaffene Programme wie PacketQ oder DNSmezzo liefern Logs, die teilweise ewig gespeichert werden. Experten wie Koch befürchten übrigens: das DNS könnte mit dem Abtauchen anderer Protokolle unter den Schutz von Verschlüsselungsmaßnahmen sogar noch mehr zum Ziel von Spähattacken werden.

Abhilfe sieht Bortzmeyer teils im Verschieben von Resolvern möglichst nah zu den Usern. Insbesondere, wenn DNS-Daten dort zahlreich gecacht werden, ist der einzelne etwas besser vor neugierigen Blicken auf seine Anfragen verborgen. Nicht jede DNS-Abfrage muss komplett die ganze DNS-Hierarchie nach oben durchgereicht werden, von langlebigen Logs ganz abgesehen.

Einen deutlich größeren Effekt erhoffen sich die Experten aber von der Verschlüsselung der DNS-Abfragen. Wenn die DNS-Anfragen über TCP statt über das neuere UDP laufen, kann mittels Transport Layer Security (TLS) verschlüsselt werden. Verschiedene Entwürfe dazu legten in London Entwickler von VeriSign und Nlnet Labs vor.

Die TLS-TCP-Idee könnte dabei davon profitieren, dass TCP einen besseren Schutz bei den so genannten "Reflection Amplification"-Angriffen bietet, bei denen DNS-Server genutzt werden, um dritte mit riesigen Datenmengen außer Gefecht zu setzen. Die Umstellung auf TCP-TLS brächte also nicht nur etwas mehr Privacy, sondern auch ein wenig mehr Sicherheit, beziehungsweise DNS-Verfügbarkeit.

Die Vorschläge der DNS-Experten in London liegen durchaus auf der Linie der laufenden IETF-Bemühungen, ganz allgemein mehr Verschlüsselung einzusetzen. Rasche Schritte in diese Richtung im DNS sind aber unwahrscheinlich. Von den Betreibern von Mittelboxen über die Anbieter von DNS-Monitoring-Werkzeugen bis zu den Unternehmen, die mit Daten Geld machen, kann niemand ein großes Interesse an einem schweigsamen DNS haben. "Wer die NSA bekämpft, schadet letztlich auch dem Geschäftsmodell von Google", sagte Randy Bush, Internetsicherheitsexperte der Internet Initiative Japan. (jo)